解决方法:
下载 银月服务器工具,使用工具->组件下载器下载ISAPI_Rewrite,解压出来。
把ISAPI_Rewrite中的ISAPI_Rewrite.dll添加为ISAPI,名字为ISAPI_Rewrite,这就是伪静态,做过的不用安装了
把ISAPI_Rewrite目录中的httpd.ini替换成补丁包中的httpd.ini。
或者保证ISAPI_Rewrite下面的httpd.ini有下图选择的两行规则也行!这样就能防止这两个IIS漏洞了,是要这两条规则有效就行了,ISAPI_Rewrite目录下面的httpd.ini是全局配置文件,会应用到所有网站,这样会防护所有网站不受漏洞攻击。
我们再说一下这个漏洞(下图),只要一个文件有(.asp)后面再带上分号(;)后面再带上一个随意字符加上扩展名如(cao.asp;ca.jpg)这个文件Windows会当成jpg图像文件,但是这种文件在IIS中会被当成asp运行,(cao.asp;ca.jpg)这个文件IIS会识别成(cao.asp),分号以后的东西忽略了- -。所以说(cao.asp;.jpg)这样的文件名也行!
补丁包里面有一个图片,把法放到各个站点下面,如果有人利用这个漏洞的话!会看到这张图片!
原理:在Windows中要搜索多个文件是使用分号(;)进行分割的,如果这个文件本身带有分号怎么?- -。哈哈系统就不能搜索这种文件的!下图,明明有这个h.asp;kk.jpg这个文件,在Windows搜索中会被当成h.asp和kk.jpg这两个文件来搜索,这是Windows的一个设计不当,应该说不应该让分号(;)做文件名的!
但是要知道cdx、cer等等等等文件都是asp的映射!所以aaa.cdx;kk.jpg都会被当成asp运行!如果这些映射没有删除都会被利用,用上面的方法这些都会变得安全!
下图是ASP目录漏洞,只要目录名为xxxx.asp这个目录下面的所有文件都会被当成asp文件运行。这是asp目录漏洞
如果无法加载,请给予IIS_Rewrite文件夹network和network service只读权限!
银月网络,银月服务器工具。
当然对于已经使用rewrite的朋友可以直接复制备份文件与图片即可
/201008/tools/rewrite_rule.rar
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
更新日志
- 智中之宝新计划怎么触发?任务完成攻略
- 吴业坤.2015-Kwan.Gor【星娱乐】【FLAC分轨】
- 陈雪凝.2024-我新长出的犄角(EP)【少城时代】【FLAC分轨】
- 林志颖.1994-火热的心【飞碟】【WAV+CUE】
- 半糖初恋
- 大脚野人日落 Sasquatch Sunset
- 独角兽塞尔玛 Thelma the Unicorn
- 群星《世界顶级汽车音响试音王(嗨歌王)24K金碟》16CD[WAV+CUE][7.9G]
- 《曾宝仪4CD合集》[WAV+CUE][2.3G]
- 周杰伦《八度空间》台湾手版[WAV+CUE][475M]
- 咏月风雅前期怎么玩 前期组队玩法解析
- 咏月风雅攻略大全 新手入门必看攻略
- 咏月风雅公测福利大全 有哪些奖励
- dnf装备成长攻略
- 鸣潮丹瑾适配武器选什么 丹瑾四星五星武器推荐